昨年のCrowdStrikeの障害で少なくとも750の米国病院が混乱に陥ったことが調査で判明

ちょうど1年前の今日、サイバーセキュリティ企業CrowdStrikeが販売したソフトウェアのバグを含むアップデートにより、世界中の何百万台ものコンピューターがダウンし、再起動を繰り返すデススパイラルに陥りました。これにより、ダウンしたマシン全体の被害額は、史上最悪のサイバー攻撃の一つに匹敵する額となりました。世界全体の被害総額は、様々な推計で数十億ドルに上るとされています。

医療サイバーセキュリティ研究者チームによる新たな研究は、クラウドストライクの災害による損害を金銭ではなく、全米の病院とその患者に及ぼす潜在的な被害として定量化する第一歩を踏み出した。この研究では、数百の病院でサービスが中断されたという証拠が明らかになり、患者の健康と福祉に深刻な影響が及ぶ可能性への懸念が高まっている。

カリフォルニア大学サンディエゴ校の研究者らは本日、CrowdStrikeの大惨事から1年を迎え、米国医師会雑誌ネットワークの出版物であるJAMA Network Openに論文を発表した。この論文では、2024年7月19日のITメルトダウンによってネットワークが影響を受けた病院の数と、それらのネットワーク上でどのサービスが中断されたと思われるかを初めて概算する試みがなされている。

危機前、危機中、そして危機後に、病院ネットワークのインターネットに露出した部分をスキャンした結果、少なくとも米国の759の病院がその日に何らかのネットワーク障害を経験したと思われることを発見しました。そのうち200以上の病院は、医療記録や検査スキャンへのアクセス不能、胎児モニタリングシステムのオフライン化など、患者に直接影響を与える障害に特に見舞われたようです。スキャンできた2,232の病院ネットワークのうち、実に34%が何らかの障害に見舞われたことが判明しました。

これらすべては、CrowdStrikeの障害が「重大な公衆衛生問題」になり得たことを示唆していると、論文の著者の一人であり、UCSDの救急医療医兼サイバーセキュリティ研究者でもあるクリスチャン・ダメフ氏は主張する。「もしこの論文のデータが1年前にこの障害発生時に存在していたら、アメリカの医療にどれほどの影響を与えたのか、私たちはもっと懸念していただろう」と彼は付け加える。

CrowdStrikeはWIREDへの声明で、UCSDの研究とJAMAの発表決定を強く批判し、この論文を「ジャンクサイエンス」と呼んだ。研究者らは、中断されたネットワークでWindowsまたはCrowdStrikeのソフトウェアが稼働していたかどうかを確認していないと指摘し、MicrosoftのクラウドサービスAzureが同日に大規模な障害に見舞われており、これが病院ネットワークの中断の一部を引き起こした可能性があると指摘している。声明には、「言及された病院のいずれにも調査結果を検証することなく、ダウンタイムと患者への影響について結論を導き出すことは、全く無責任であり、科学的に擁護できない」と記されている。

「この報告書の手法と結論には異議を唱えますが、1年前に発生したこの事件が及ぼした影響は認識しています」と声明は付け加えている。「当初から申し上げているように、お客様と影響を受けた方々に心からお詫び申し上げます。引き続き、当社のプラットフォームと業界のレジリエンス強化に注力してまいります。」

CrowdStrikeの批判に対し、UCSDの研究者たちは調査結果を堅持すると述べた。CrowdStrikeが指摘したAzureの障害は前夜に始まり、主に米国中部に影響を与えたのに対し、彼らが計測した障害は米国東海岸時間7月19日の深夜0時頃、つまりCrowdStrikeの欠陥のあるアップデートがコンピューターのクラッシュを引き起こし始めた頃に始まり、全米に影響を与えたと指摘する（Microsoftはコメント要請にすぐには応じなかった）。論文共著者の一人であるUCSDのコンピューターサイエンス教授ステファン・サヴェージは、WIREDへのメールで「今回のような病院ネットワーク内で地理的に分散した同時多発的なサービス停止を説明できる仮説は、CrowdStrikeのクラッシュ以外には考えられない」と述べている。（JAMAはCrowdStrikeの批判に対しコメントを拒否した。）

実際、研究者たちは、検知された病院の混乱件数はあくまでも最低限の推定値であり、CrowdStrikeのクラッシュによる実際の影響範囲を測るものではないと述べています。これは、研究者たちがアメリカの6,000以上の病院のうち約3分の1しかスキャンできなかったことが一因であり、実際に影響を受けた医療施設の数はこれより数倍多かった可能性を示唆しています。

UCSDの研究者らによる発見は、「Ransomwhere?」と名付けられたより大規模なインターネットスキャンプロジェクトから生まれたものです。このプロジェクトは、米国保健省高等研究計画局（APRA）の資金提供を受け、2024年初頭に開始されたものです。このプロジェクトは、病院におけるランサムウェアによる機能停止の検知を目的としています。このプロジェクトの結果、2024年7月にCrowdStrikeによる大規模攻撃が発生した時点で、研究者らは既にスキャンツールZMapとCensysを用いて米国の病院を調査していました。

研究者らが7月19日にサービスがオフラインになったことを検知した759の病院については、スキャンによって、どの特定のサービスがダウンしていたか分析することもできた。研究者らは、CensysやLantern Projectなどの公開ツールを使用してさまざまな医療サービスを特定したほか、アクセスできるウェブベースのサービスを手動で確認した。その結果、202の病院で患者に直接関係するサービスの停止が発生していることがわかった。これらのサービスには、患者の健康記録を閲覧するために使用されるスタッフポータル、胎児監視システム、患者ケアの遠隔監視ツール、患者を別の病院に転送できる安全な文書転送システム、「病院前」情報システム（緊急治療が必要な患者のために救急車から緊急治療室に初期検査結果を共有できるツールなど）、およびスキャン結果を医師と患者が利用できるように使用される画像保存および検索システムが含まれていた。

「患者が脳卒中を起こしていて、放射線科医がスキャン画像をすぐに見る必要があった場合、それをCTスキャナーから放射線科医に渡して読影するのははるかに困難になります」とダメフ氏は仮説的な例として挙げている。

研究者らはまた、212の病院で「業務上重要な」システム、例えばスタッフスケジューリングプラットフォーム、請求書支払いシステム、患者の待ち時間管理ツールなどが停止していることを発見した。また、「研究関連」サービスの別のカテゴリーでは、62の病院で停止が発生していたことが分かった。研究者らの調査結果で最も大きな割合を占めていたのは「その他」のカテゴリーで、これには287の病院のスキャンでは研究者らが完全に特定できなかったオフラインサービスが含まれており、これらのサービスの中にも、患者関連サービスとしてカウントされていないものが含まれていた可能性があることを示唆している。

「この論文には、例えば脳卒中の誤診があったとか、命を救う抗生物質の投与が遅れたといったことは何も書かれていません。しかし、そうしたことはあったかもしれません」とダメフ氏は言う。「こうした混乱の証拠はたくさんあると思います。人々がかなり深刻な影響を受けなかったと主張するのは難しいでしょう。」

この調査結果は、CrowdStrikeの障害が昨年既に表面化していた医療施設への影響に関する逸話的な報告に、新たな広範な視点を与えるものである。WIREDは当時、大手非営利医療システムであるベイラー病院ネットワークとQuest Diagnosticsが、いずれも定期的な血液検査を処理できない状態にあったと報じた。ボストン地域の病院システムであるマサチューセッツ・ジェネラル・ブリガムは、4万5000台のPCをオンラインに復旧させる必要があったと報じられており、各PCの手動修復には15～20分を要した。

研究者らは、CrowdStrikeの障害の影響を受けた病院サービスのダウンタイムの長さを概算で測定しようと試みたところ、ほとんどのサービスが比較的早く回復したことが分かりました。病院サービスの約58%は6時間以内にオンラインに戻り、回復に48時間以上かかったのはわずか8%程度でした。

これは、病院を襲った実際のサイバー攻撃によるシステム停止よりもはるかに短い期間だと研究者らは指摘する。2017年に発生したNotPetyaやWannaCryといった大規模感染型マルウェア攻撃、そして2024年初頭にユナイテッド・ヘルスケアの決済サービス子会社を襲ったChange Healthcareランサムウェア攻撃は、いずれも米国全土の多数の病院（WannaCryの場合は英国）を数日、場合によっては数週間にわたって閉鎖に追い込んだ。しかし、CrowdStrikeの事件の影響は、病院に意図的に引き起こされたデジタル災害と比較する価値があると研究者らは主張する。

「ダウンタイムの長さは異なりますが、範囲、全国で影響を受けた病院の数、規模、混乱の潜在的な激しさは似ています」と、この研究の共著者である小児科医、麻酔科医、サイバーセキュリティ研究者のジェフリー・タリー氏は述べている。

数時間、あるいは数分の遅延でさえ、心臓発作や脳卒中の患者の死亡率を高める可能性があると、セキュリティ・テクノロジー研究所で医療サイバーセキュリティを専門とするサイバーセキュリティ研究者であり、元CISA職員でUCSDの調査をレビューしたジョシュ・コーマン氏は述べている。つまり、数百の病院で患者関連サービスが短時間でも停止すると、測定は困難ではあるものの、具体的かつ深刻な悪影響が生じる可能性があるということだ。

UCSDの研究チームは、この単一のインシデントが患者の健康に及ぼす可能性のある影響について最初の推定値を提示したことに加え、適切なツールを用いれば、このような大規模な医療ネットワーク障害を監視し、そこから学ぶことが可能であることを示したことが、この研究のより大きな貢献であると強調しています。この結果は、将来、このような大規模な障害、そしてサイバー攻撃によるダウンタイムから病院を守るためのより適切な方法につながる可能性があります。